[Inaktuell] FireEye Network Security (NX) via anslutningsprogrammet för äldre agent för Microsoft Sentinel
Dataanslutningen FireEye Network Security (NX) ger möjlighet att mata in FireEye Network Security-loggar i Microsoft Sentinel.
Anslut ellerattribut
Anslut ellerattribut | Description |
---|---|
Log Analytics-tabeller | CommonSecurityLog (FireEyeNX) |
Stöd för regler för datainsamling | DcR för arbetsytetransformering |
Stöds av | Microsoft Corporation |
Exempel på frågor
De 10 främsta källorna
FireEyeNXEvent
| where isnotempty(SrcIpAddr)
| summarize count() by SrcIpAddr
| top 10 by count_
Installationsanvisningar för leverantör
Kommentar
Den här dataanslutningsappen är beroende av en parser baserad på en Kusto-funktion för att fungera som förväntat FireEyeNXEvent som distribueras med Microsoft Sentinel-lösningen.
Kommentar
Den här dataanslutningsappen har utvecklats med FEOS release v9.0
- Konfiguration av Linux Syslog-agent
Installera och konfigurera Linux-agenten för att samla in dina Common Event Format-syslog-meddelanden (CEF) och vidarebefordra dem till Microsoft Sentinel.
Observera att data från alla regioner lagras på den valda arbetsytan
1.1 Välj eller skapa en Linux-dator
Välj eller skapa en Linux-dator som Microsoft Sentinel ska använda som proxy mellan din säkerhetslösning och Microsoft Sentinel den här datorn kan finnas i din lokala miljö, Azure eller andra moln.
1.2 Installera CEF-insamlaren på Linux-datorn
Installera Microsoft Monitoring Agent på din Linux-dator och konfigurera datorn så att den lyssnar på den nödvändiga porten och vidarebefordrar meddelanden till din Microsoft Sentinel-arbetsyta. CEF-insamlaren samlar in CEF-meddelanden på port 514 TCP.
- Kontrollera att du har Python på datorn med följande kommando: python -version.
- Du måste ha utökade behörigheter (sudo) på datorn.
Kör följande kommando för att installera och tillämpa CEF-insamlaren:
sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}
- Konfigurera FireEye NX för att skicka loggar med CEF
Slutför följande steg för att skicka data med CEF:
2.1. Logga in på FireEye-installationen med ett administratörskonto
2.2. Klicka på Inställningar
2.3. Klicka på Meddelanden
Klicka på rsyslog
2.4. Markera kryssrutan Händelsetyp
2.5. Kontrollera att Rsyslog-inställningarna är:
Standardformat: CEF
Standardleverans: Per händelse
Skicka som standard: Avisering
- Verifiera anslutningen
Följ anvisningarna för att verifiera anslutningen:
Öppna Log Analytics för att kontrollera om loggarna tas emot med hjälp av CommonSecurityLog-schemat.
Det kan ta cirka 20 minuter innan anslutningen strömmar data till din arbetsyta.
Om loggarna inte tas emot kör du följande anslutningsverifieringsskript:
- Kontrollera att du har Python på datorn med följande kommando: python -version
- Du måste ha utökade behörigheter (sudo) på datorn
Kör följande kommando för att verifiera anslutningen:
sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}
- Skydda datorn
Se till att konfigurera datorns säkerhet enligt organisationens säkerhetsprincip
Nästa steg
Mer information finns i den relaterade lösningen på Azure Marketplace.